.
Getty Images
O LastPass, um dos principais gerenciadores de senhas, disse que os hackers obtiveram uma grande quantidade de informações pessoais pertencentes a seus clientes, bem como senhas criptografadas e com hash criptográfico e outros dados armazenados nos cofres dos clientes.
A revelação, publicada na quinta-feira, representa uma atualização dramática de uma violação do LastPass divulgada em agosto. Na época, a empresa disse que um agente de ameaça obteve acesso não autorizado por meio de uma única conta de desenvolvedor comprometida a partes do ambiente de desenvolvimento do gerenciador de senhas e “pegou partes do código-fonte e algumas informações técnicas proprietárias do LastPass”. A empresa disse na época que as senhas mestras dos clientes, senhas criptografadas, informações pessoais e outros dados armazenados nas contas dos clientes não foram afetados.
Dados confidenciais, criptografados ou não, copiados
Na atualização de quinta-feira, a empresa disse que os hackers acessaram informações pessoais e metadados relacionados, incluindo nomes de empresas, nomes de usuários finais, endereços de cobrança, endereços de e-mail, números de telefone e endereços IP usados pelos clientes para acessar os serviços do LastPass. Os hackers também copiaram um backup dos dados do cofre do cliente que incluíam dados não criptografados, como URLs de sites e campos de dados criptografados, como nomes de usuário e senhas de sites, notas seguras e dados preenchidos em formulários.
“Esses campos criptografados permanecem protegidos com criptografia AES de 256 bits e só podem ser descriptografados com uma chave de criptografia exclusiva derivada da senha mestra de cada usuário usando nossa arquitetura Zero Knowledge”, escreveu o CEO da LastPass, Karim Toubba, referindo-se ao Advanced Encryption Scheme e um pouco taxa que é considerada forte. Zero Knowledge refere-se a sistemas de armazenamento que são impossíveis para o provedor de serviços descriptografar. O CEO continuou:
Como lembrete, a senha mestra nunca é conhecida pelo LastPass e não é armazenada ou mantida pelo LastPass. A criptografia e descriptografia de dados são realizadas apenas no cliente LastPass local. Para obter mais informações sobre nossa arquitetura Zero Knowledge e algoritmos de criptografia, consulte aqui.
A atualização disse que, na investigação da empresa até agora, não há indicação de que dados de cartão de crédito não criptografados tenham sido acessados. O LastPass não armazena os dados do cartão de crédito em sua totalidade, e os dados do cartão de crédito que ele armazena são mantidos em um ambiente de armazenamento em nuvem diferente daquele acessado pelo agente da ameaça.
A invasão divulgada em agosto que permitiu que hackers roubassem o código-fonte do LastPass e informações técnicas proprietárias parece estar relacionada a uma violação separada do Twilio, um provedor de autenticação de dois fatores e serviços de comunicação com sede em San Francisco. O agente da ameaça nessa violação roubou dados de 163 clientes do Twilio. Os mesmos phishers que atingiram o Twilio também violaram pelo menos 136 outras empresas, incluindo o LastPass.
A atualização de quinta-feira disse que o agente da ameaça poderia usar o código-fonte e as informações técnicas roubadas do LastPass para hackear um funcionário separado do LastPass e obter credenciais e chaves de segurança para acessar e descriptografar volumes de armazenamento no serviço de armazenamento baseado em nuvem da empresa.
“Até o momento, determinamos que, uma vez que a chave de acesso ao armazenamento em nuvem e as chaves de descriptografia do contêiner de armazenamento duplo foram obtidas, o agente da ameaça copiou informações do backup que continham informações básicas da conta do cliente e metadados relacionados, incluindo nomes de empresas, nomes de usuários finais, cobrança endereços, endereços de e-mail, números de telefone e os endereços IP dos quais os clientes estavam acessando o serviço LastPass”, disse Toubba. “O agente da ameaça também conseguiu copiar um backup dos dados do cofre do cliente do contêiner de armazenamento criptografado, que é armazenado em um formato binário proprietário que contém dados não criptografados, como URLs de sites, bem como campos confidenciais totalmente criptografados, como nomes de usuário e senhas de sites, notas seguras e dados preenchidos em formulários.”
Os representantes do LastPass não responderam a um e-mail perguntando quantos clientes tiveram seus dados copiados.
Reforce sua segurança agora
A atualização de quinta-feira também listou vários remédios que o LastPass tomou para reforçar sua segurança após a violação. As etapas incluem descomissionar o desenvolvimento hackeado e reconstruí-lo do zero, mantendo um serviço gerenciado de detecção e resposta de endpoint e alternando todas as credenciais e certificados relevantes que podem ter sido afetados.
Dada a sensibilidade dos dados armazenados pelo LastPass, é alarmante que uma quantidade tão grande de dados pessoais tenha sido obtida. Também é preocupante o fato de que os cofres dos usuários estão agora nas mãos do agente da ameaça. Embora quebrar os hashes de senha exigisse grandes quantidades de recursos, não está fora de questão, principalmente considerando o quão metódico e engenhoso era o agente da ameaça.
Os clientes do LastPass devem garantir que tenham alterado sua senha mestra e todas as senhas armazenadas em seu cofre. Eles também devem se certificar de que estão usando configurações que excedem o padrão do LastPass. Essas configurações armazenam senhas com hash usando 100.100 iterações da função de derivação de chave baseada em senha (PBKDF2), um esquema de hash que pode inviabilizar a quebra de senhas mestras que são longas, únicas e geradas aleatoriamente. As 100.100 iterações estão muito abaixo do limite de 310.000 iterações que o OWASP recomenda para PBKDF2 em combinação com o algoritmo de hash SHA256 usado pelo LastPass. Os clientes LastPass podem verificar o número atual de iterações PBKDF2 para suas contas aqui.
Quer sejam usuários do LastPass ou não, todos também devem criar uma conta no Have I been Pwned? para garantir que eles tomem conhecimento de qualquer violação que os afete o mais rápido possível.
Os clientes do LastPass também devem ficar atentos a e-mails de phishing e chamadas telefônicas supostamente do LastPass ou de outros serviços que buscam dados confidenciais e outros golpes que exploram seus dados pessoais comprometidos. A empresa também tem conselhos específicos para clientes empresariais que implementaram os serviços de login federados do LastPass.
.
